Как проходит выдача ЭЦП по новым правилам в ФНС
Для получения квалифицированной подписи в ФНС необходимо:
Шаг 1: Записаться в территориальное отделение ФНС
Шаг 2: Лично подать заявление на выпуск ЭЦП. Предоставить при этом паспорт и СНИЛС.
Шаг 3: Пройти идентификацию
Шаг 4: Предоставить носитель информации, сертифицированный ФСТЭК России или ФСБ России.
Не забывайте заранее приобрести сертифицированный носитель электронной подписи: ФНС не занимается их продажей!
Есть вопросы про ЭЦП ФНС на защищенных носителях? Обращайтесь к нашим специалистам! Объясним новые требования ФНС бесплатно, поможем выбрать и приобрести защищенный носитель для вашей эцп в кратчайшие сроки.
Оставьте заявку и получите бесплатную консультацию уже сегодня!
Как подписать документ электронной подписью
Вопрос актуальный для тех, кто только начинает использовать электронный документооборот и ЭЦП у себя в организации. Рассказываем подробно, какие особенности подписи электронных документов существуют, что нужно иметь для юридически значимого электронного документооборота и как подписывать документы квалифицированной электронной подписью.
Электронная подпись для Росреестра
Рассказываем подробно, зачем требуется ЭЦП для Росреестра. Какие нужны документы для ее выпуска и где получить электронную подпись для работы на портале Росреестра.
Статьи по теме
Клиентов на постоянной поддержке
Офисов по всей России и продолжаем расширяться
Мы успешно работаем в сфере электронных решений
Всегда на связи с клиентами группа Техподдержки
ТРЕБОВАНИЯ К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА
(в ред. Приказов ФСБ РФ от 04.12.2020 N 555, от 13.04.2022 N 179)
Общие положения
1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» (далее — Федеральный закон).
2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:
1) электронная подпись (далее — ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
2) удостоверяющий центр (далее — УЦ) — юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки ЭП, а также иные функции, предусмотренные Федеральным законом; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
3) средства ЭП — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;
4) ключ ЭП — уникальная последовательность символов, предназначенная для создания ЭП;
5) ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее — проверка ЭП);
6) сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;
7) квалифицированный сертификат ключа проверки ЭП (далее — квалифицированный сертификат) — сертификат ключа проверки ЭП, соответствующий требованиям, установленным Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее — уполномоченный федеральный орган), и являющийся в связи с этим официальным документом; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
8) владелец сертификата ключа проверки ЭП — лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;
9) аккредитация УЦ — признание соответствия УЦ требованиям Федерального закона; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
10) средства УЦ — аппаратные и (или) программные средства, используемые для реализации функций УЦ;
11) участники электронного взаимодействия — осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, индивидуальные предприниматели, а также граждане; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
3. Настоящие Требования устанавливают структуру и содержание требований к средствам УЦ.
4. Настоящие Требования предназначены для заказчиков и разработчиков разрабатываемых (модернизируемых) средств УЦ при их взаимодействии между собой, с организациями, проводящими криптографические, инженерно-криптографические и специальные исследования средств УЦ, ФСБ России, осуществляющей подтверждение соответствия средств УЦ настоящим Требованиям.
5. Настоящие Требования распространяются на средства УЦ, предназначенные для использования на территории Российской Федерации.
Требования к средствам УЦ
7. Средства УЦ должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения инженерно-технической и криптографической безопасности средств УЦ или с целью создания условий для этого (далее — атака).
9. Средства УЦ класса КС1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
9.1. Подготовка и проведение атак извне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее — контролируемая зона).
9.2. Подготовка и проведение атак без использования доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ.
9.3. Самостоятельное осуществление создания способов атак, подготовки и проведения атак на следующие объекты:
— документацию на средства УЦ;
— защищаемые электронные документы;
— ключевую, аутентифицирующую и парольную информацию;
— средства УЦ, их программные и аппаратные компоненты;
— данные, передаваемые по каналам связи;
— помещения, в которых находятся аппаратные средства (далее — АС), на которых реализованы средства УЦ, а также другие защищаемые ресурсы информационной системы.
9.4. Внесение на этапах разработки, производства, хранения, транспортировки и ввода в эксплуатацию средств УЦ:
— негативных функциональных возможностей в средства УЦ, в том числе с использованием вредоносных программ;
— несанкционированных изменений в документацию на средства УЦ.
9.5. Получение следующей информации:
— общих сведений об информационной системе, в которой используются средства УЦ (назначение, состав, объекты, в которых размещены ресурсы информационной системы);
— сведений об информационных технологиях, базах данных, АС, программном обеспечении (далее — ПО), используемых в информационной системе совместно со средствами УЦ;
— сведений о физических мерах защиты объектов, в которых размещены средства УЦ;
— сведений о мерах по обеспечению защиты контролируемой зоны объектов информационной системы, в которой используются средства УЦ;
— сведений о мерах по разграничению доступа в помещения, в которых размещены средства УЦ;
— содержания находящейся в свободном доступе технической документации на средства УЦ;
— сведений о защищаемой информации, используемой в процессе эксплуатации средств УЦ (виды защищаемой информации: служебная информация, парольная и аутентифицирующая информация, конфигурационная информация, управляющая информация, информация в электронных журналах регистрации; общие сведения о содержании каждого вида защищаемой информации; характеристики безопасности для каждого вида защищаемой информации);
— всех возможных данных, передаваемых в открытом виде по каналам связи, не защищенным от несанкционированного доступа (далее — НСД) к информации организационно-техническими мерами;
— сведений о линиях связи, по которым передается защищаемая с использованием средств УЦ информация;
— сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушениях правил эксплуатации средств УЦ;
— сведений обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностях и сбоях средств УЦ;
— сведений, получаемых в результате анализа любых доступных для перехвата сигналов от аппаратных компонентов средств УЦ.
— находящихся в свободном доступе или за пределами контролируемой зоны АС и ПО, включая программные и аппаратные компоненты средств УЦ;
— специально разработанных АС и ПО.
9.7. Использование в качестве каналов атак не защищенных от НСД к информации организационно-техническими мерами каналов связи (как вне контролируемой зоны, так и в ее пределах), по которым передается информация, обрабатываемая средствами УЦ.
10. Средства УЦ класса КС2 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
10.1. Возможности, перечисленные в подпунктах 9.3 — 9.7 настоящих Требований.
10.2. Подготовка и проведение атак из контролируемой зоны.
10.3. Подготовка и проведение атак без использования доступа к АС, на которых реализованы средства УЦ.
10.4. Использование штатных средств информационной системы, в которой используются средства УЦ.
11. Средства УЦ класса КС3 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
11.1. Возможности, перечисленные в подпунктах 10.1, 10.4 настоящих Требований.
11.2. Подготовка и проведение атак из-за пределов контролируемой зоны с использованием доступа к функциональным возможностям программно-аппаратных средств взаимодействия с УЦ на основе легального обладания аутентифицирующей информацией либо подготовка и проведение атак из контролируемой зоны с использованием доступа к АС, на которых реализованы компоненты УЦ, с правами лица, не являющегося членом группы физических лиц, уполномоченных производить инсталляцию, конфигурирование и эксплуатацию средств УЦ, конфигурирование профиля и параметров журнала аудита (функции системного администратора), архивирование, резервное копирование и восстановление информации после сбоев (функции оператора), создание и аннулирование сертификатов ключей проверки ЭП (функции администратора сертификации), просмотр и поддержку журнала аудита (функции администратора аудита) (далее — группа администраторов средств УЦ) ни одного из компонентов УЦ.
11.3. Обладание АС УЦ в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.
12. Средства УЦ класса КВ1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
12.1. Возможности, перечисленные в подпунктах 11.1 — 11.3 настоящих Требований.
12.2. Осуществление создания способов и подготовки атак с привлечением специалистов, имеющих опыт разработки и анализа СКЗИ УЦ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочных электромагнитных излучений и наводок СКЗИ УЦ).
12.3. Проведение лабораторных исследований средств УЦ, используемых вне контролируемой зоны в объеме, зависящем от реализованных мер, направленных на предотвращение и пресечение несанкционированных действий.
13. Средства УЦ класса КВ2 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
13.1. Возможности, перечисленные в подпунктах 12.1 — 12.3 настоящих Требований.
13.2. Осуществление создания способов и подготовки атак с привлечением специалистов в области использования для реализации атак недекларированных возможностей прикладного и системного ПО.
13.3. Постановка работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа средств УЦ.
13.4. Обладание исходными текстами прикладного ПО, применяемого в информационной системе, в которой используются средства УЦ, и находящейся в свободном доступе документацией.
13.5. Разработка и реализация с использованием аппаратных и программных средств атак, направленных на выявление и использование имеющихся уязвимостей АС УЦ. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
14. Средства УЦ класса КА1 противостоят атакам, при создании способов, подготовке и проведении которых используются следующие возможности:
14.1. Возможности, перечисленные в подпунктах 13.1 — 13.4 настоящих Требований.
14.2. Осуществление создания способов и подготовки атак с привлечением научно-исследовательских центров, специализирующихся в области разработки и анализа СКЗИ и в области использования для реализации атак недекларированных возможностей прикладного и системного ПО.
14.3. Обладание всей документацией на аппаратные и программные компоненты средств УЦ.
14.4. Обладание всеми аппаратными компонентами средств УЦ.
15. Средства УЦ должны эксплуатироваться в соответствии с эксплуатационной документацией на средства УЦ. Комплекс организационно-технических мероприятий по обеспечению безопасного функционирования средств УЦ должен быть указан в эксплуатационной документации на средства УЦ.
16. Класс средств ЭП, используемых в средствах УЦ, должен быть не ниже соответствующего класса средств УЦ. Класс средств ЭП, используемых в средствах УЦ, должен быть указан в эксплуатационной документации на средства УЦ.
Класс СКЗИ, используемых в средствах УЦ, должен быть не ниже соответствующего класса средств УЦ. Класс СКЗИ, используемых в средствах УЦ, должен быть указан в эксплуатационной документации на средства УЦ.
17. Каждое требование, предъявляемое к средствам УЦ любого класса, кроме КА1, либо предъявляется к средствам УЦ следующего класса без изменений (в этом случае оно в перечне требований к средствам УЦ следующего класса не указывается), либо ужесточается (в этом случае в перечне требований к средствам УЦ следующего класса приводится ужесточенная формулировка). Требования к средствам УЦ следующего класса могут содержать дополнительные требования, не входящие в требования к средствам УЦ предыдущего класса.
18. Требования к ПО средств УЦ:
18.1. Требования для средств УЦ класса КС1:
— ПО средств УЦ не должно содержать средств, позволяющих модифицировать или искажать алгоритм работы программных средств и АС УЦ.
18.2. Требования для средств УЦ класса КС2:
— прикладное ПО средств УЦ и СКЗИ, используемых в УЦ, должно использовать только документированные функции системного ПО.
18.3. Требования для средств УЦ класса КС3:
— системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ, администратора сертификации средств УЦ и лиц, обеспечиваемых системным администратором средств УЦ идентифицирующей и аутентифицирующей информацией и не являющихся администратором сертификации средств УЦ (далее — пользователи средств УЦ), к информации, обрабатываемой средствами УЦ, на основании правил разграничения доступа, заданных системным администратором средств УЦ;
— системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;
— системное и прикладное ПО средств УЦ не должно содержать известных уязвимостей, опубликованных в общедоступных источниках;
— в состав системного и (или) прикладного ПО средств УЦ должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа.
18.4. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.
18.5. Требования для средств УЦ класса КВ2:
— исходные тексты системного и прикладного ПО средств УЦ должны пройти проверку реализации в них методов и способов защиты информации, противостоящих атакам, для подготовки и проведения которых используются возможности, перечисленные в пунктах 9 — 13 настоящих Требований;
— исходные тексты системного и прикладного ПО должны пройти проверку на отсутствие недекларированных возможностей;
— системное и прикладное ПО должно быть устойчиво к компьютерным атакам из внешних сетей.
18.6. Требования для средств УЦ класса КА1:
— исходные тексты системного и прикладного ПО средств УЦ должны пройти формальную верификацию реализации в них методов и способов защиты информации, противостоящих атакам, для подготовки и проведения которых используются возможности, перечисленные в пунктах 9 — 14 настоящих Требований, а также отсутствия в них недекларированных возможностей.
19. Требования к АС УЦ:
19.1. В случае планирования размещения АС УЦ в помещениях, в которых присутствует речевая акустическая и визуальная информация, содержащая сведения, составляющие государственную тайну, и (или) установлены технические средства и системы приема, передачи, обработки, хранения и отображения информации, содержащей сведения, составляющие государственную тайну, технические средства иностранного производства, входящие в состав средств УЦ, должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации, а также исследованиям на соответствие требованиям по защите от утечки информации по каналам побочных электромагнитных излучений и наводок в соответствии с категорией выделенного помещения.
19.2. Требования для средств УЦ класса КС1:
— проводится проверка соответствия реализации целевых функций УЦ на основе системы тестов АС УЦ.
19.3. Требования для средств УЦ классов КС2, КС3 и КВ1 совпадают с требованиями для средств УЦ класса КС1. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
19.4. Требования для средств УЦ класса КВ2: (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— в средствах УЦ должен быть реализован механизм контроля входящих информационных потоков в целях выявления наличия данных, активирующих недекларированные возможности АС; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— в составе средств УЦ для выполнения функций управления ключами ЭП должны использоваться отдельные СКЗИ на базе выделенных аппаратных платформ. Данные СКЗИ не должны эксплуатироваться совместно с другим программным обеспечением, не входящим в состав СКЗИ, в одной среде функционирования. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
19.5. Требования для средств УЦ класса КА1: (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— проведение специальной проверки технических средств иностранного производства, входящих в состав АС УЦ, в целях выявления устройств, предназначенных для негласного получения информации; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— проведение исследования наличия недекларированных возможностей АС, внесенных на этапе разработки и изготовления электронной компонентной базы, а также на этапах разработки и производства средств вычислительной техники на ее основе; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— проведение полной верификации АС (совместно с анализом программного кода BIOS), на которых реализуются средства УЦ, с целью исключения недекларированных возможностей. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
20. Требования к ролевому разграничению:
20.1. Для обеспечения выполнения функций УЦ средства УЦ должны поддерживать ролевое разграничение членов группы администраторов средств УЦ.
20.2. Требования для средств УЦ класса КС1:
— должны быть определены список ролей и распределение обязанностей между ролями;
— список ролей и распределение обязанностей между ролями должны быть указаны в эксплуатационной документации на средства УЦ.
20.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.
20.4. Требования для средств УЦ класса КС3:
— средства УЦ должны поддерживать следующие обязательные роли:
1) системного администратора с основными обязанностями инсталляции, конфигурации и поддержки функционирования средств УЦ, создания и поддержки профилей членов группы администраторов средств УЦ, конфигурации профиля и параметров журнала аудита;
2) администратора сертификации с основными обязанностями: создание и аннулирование сертификатов ключей проверки ЭП;
— в средствах УЦ должен быть реализован механизм, исключающий возможность авторизации одного члена из группы администраторов средств УЦ для выполнения различных ролей;
— должна быть исключена возможность хищения ключевой информации членом группы администраторов; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— копирование ключевой информации СКЗИ должно быть реализовано в защищенном (зашифрованном) виде. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
20.5. Требования для средств УЦ класса КВ1:
— средства УЦ должны обеспечивать наличие обязательной роли оператора с основными обязанностями по резервному копированию и восстановлению.
20.6. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса КВ1.
20.7. Требования для средств УЦ класса КА1:
— средства УЦ должны обеспечивать наличие обязательной роли администратора аудита с основными обязанностями: просмотр и поддержка журнала аудита;
— системный администратор не должен иметь возможности вносить изменения в журнал аудита.
21. Требования к целостности средств УЦ:
21.1. Средства УЦ должны содержать механизм контроля несанкционированного случайного и (или) преднамеренного искажения (изменения, модификации) и (или) разрушения информации, программных средств и АС УЦ (далее — механизм контроля целостности).
21.2. Требования для средств УЦ класса КС1:
— требования к механизму контроля целостности должны быть указаны в ТЗ на разработку (модернизацию) средств УЦ;
— должен быть определен период контроля целостности программных средств и АС УЦ и указан в эксплуатационной документации на средства УЦ;
— контроль целостности программных средств УЦ должен выполняться при каждом старте функционирования указанных средств, а контроль целостности АС УЦ — при каждой перезагрузке операционной системы (далее — ОС); (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— должны иметься средства восстановления целостности средств УЦ;
— вероятность ошибки контроля целостности не должна превышать аналогичной вероятности для используемых СКЗИ. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
21.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.
21.4. Требования для средств УЦ класса КС3:
— контроль целостности должен выполняться не реже 1 раза в сутки.
21.5. Требования для средств УЦ класса КВ1:
— контроль целостности должен выполняться до загрузки ОС средств УЦ.
21.6. Требования для средств УЦ класса КВ2: (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— контроль целостности должен осуществляться динамически при функционировании средств УЦ. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
21.7. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
22. Требования к управлению доступом:
22.1. Средства УЦ должны обеспечивать управление доступом.
22.2. Требования для средств УЦ класса КС1:
— должны быть определены требования к управлению доступом и указаны в ТЗ на разработку (модернизацию) средств УЦ.
22.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.
22.4. Требования для средств УЦ класса КС3:
— в УЦ должен обеспечиваться дискреционный принцип контроля доступа.
22.5. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.
22.6. Требования для средств УЦ класса КВ2:
22.7. Требования для средств УЦ класса КА1:
— в УЦ должен обеспечиваться мандатный принцип контроля доступа;
23. Требования к идентификации и аутентификации:
23.1. Идентификация и аутентификация включают в себя распознавание пользователя средств УЦ, члена группы администраторов средств УЦ или процесса и проверку их подлинности. Механизм аутентификации должен блокировать доступ этих субъектов к функциям УЦ при отрицательном результате аутентификации.
23.2. В средствах УЦ для любой реализованной процедуры аутентификации должен быть применен механизм ограничения количества следующих подряд попыток аутентификации одного субъекта доступа, число которых не должно быть больше трех. При превышении числа следующих подряд попыток аутентификации одного субъекта доступа установленного предельного значения доступ этого субъекта доступа к средствам УЦ должен быть заблокирован на промежуток времени, который указывается в ТЗ на разработку (модернизацию) средств УЦ.
23.3. Требования для средств УЦ класса КС1:
— описание процедуры регистрации пользователей средств УЦ (внесения данных в реестр пользователей средств УЦ) должно содержаться в эксплуатационной документации на средства УЦ;
— для всех лиц, осуществляющих доступ к средствам УЦ, должна проводиться аутентификация. При этом допускается ограничиться использованием для аутентификации только символьного периодически изменяющегося пароля из не менее чем 8 символов при мощности алфавита не менее 36 символов. Период изменения пароля не должен быть больше 6 месяцев.
23.4. Требования для средств УЦ класса КС2:
— необходимость предъявления пользователем средств УЦ при его регистрации документов, удостоверяющих личность, должна быть отражена в эксплуатационной документации на средства УЦ;
— для всех пользователей средств УЦ допускается использование механизмов удаленной аутентификации. Специальные характеристики механизмов удаленной аутентификации должны быть подтверждены в рамках проведения проверки соответствия средств УЦ и объектов информатизации, использующих данные средства, настоящим Требованиям;
— при осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС) и с применением механизма многофакторной аутентификации, использующего аппаратные идентификаторы. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
23.5. Требования для средств УЦ класса КС3:
— в средствах УЦ должен быть реализован механизм аутентификации локальных пользователей, имеющих доступ к средствам УЦ, но не входящих в состав группы администраторов средств УЦ.
23.6. Требования для средств УЦ класса КВ1:
— при осуществлении удаленного доступа к средствам УЦ использование только символьного пароля не допускается, должны использоваться механизмы аутентификации на основе криптографических протоколов.
23.7. Требования для средств УЦ класса КВ2 совпадают с требованиями для средств УЦ класса КВ1.
23.8. Требования для средств УЦ класса КА1:
— в средствах УЦ для любого реализованного механизма аутентификации должна быть реализована возможность установки предельно допустимого количества следующих подряд попыток аутентификации одного субъекта доступа и установки времени блокировки доступа к средствам УЦ на местах их эксплуатации.
24. Требования к защите данных, поступающих (экспортируемых) в (из) УЦ:
24.1. Средства УЦ должны обеспечивать доверенный ввод самоподписанного сертификата ключа проверки ЭП.
24.2. Требования для средств УЦ класса КС1:
— средства УЦ должны обеспечивать передачу данных, содержащих информацию ограниченного доступа, поступающих в УЦ и экспортируемых из УЦ, способом, защищенным от НСД;
— требования к процедуре защиты от навязывания ложных сообщений указываются в ТЗ на разработку (модернизацию) средств УЦ.
24.3. Требования для средств УЦ класса КС2:
— средства УЦ должны обеспечивать защиту первоначального запроса на сертификат ключа проверки ЭП;
— средства УЦ должны принимать критичную для функционирования УЦ информацию, только если она подписана ЭП;
— в средствах УЦ должен быть реализован механизм защиты от навязывания ложных сообщений на основе использования средств ЭП, получивших подтверждение соответствия требованиям к средствам ЭП, класс которых соответствует классу средств УЦ; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— в средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ, класс которых не ниже класса средств УЦ. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
24.4. Требования для средств УЦ классов КС3, КВ1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС2. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
24.5.-24.6. подпункты утратили силу. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
25. Требования к регистрации событий:
25.1. Базовая ОС средств УЦ должна поддерживать ведение журнала аудита системных событий.
25.2. Требования для средств УЦ класса КС1:
— в средствах УЦ должен быть реализован механизм, производящий выборочную регистрацию событий в журнале аудита, связанных с выполнением УЦ своих функций;
— список регистрируемых событий должен содержаться в эксплуатационной документации на средства УЦ;
— список регистрируемых событий должен включать факты (попытки) изменения системного времени средств УЦ. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
25.3. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.
25.4. Требования для средств УЦ класса КС3:
— должны быть приняты меры обнаружения несанкционированных изменений журнала аудита. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
25.5. Требования для средств УЦ класса КВ1 совпадают с требованиями для средств УЦ класса КС3.
25.6. Требования для средств УЦ класса КВ2:
— должны быть приняты меры обнаружения несанкционированных изменений каждой записи в журнале аудита.
25.7. Требования для средств УЦ класса КА1:
— журнал аудита должен быть доступен только администратору аудита, который может осуществлять только его просмотр, копирование и полную очистку. После очистки первой записью в журнале аудита должен автоматически регистрироваться факт очистки с указанием даты, времени и информации о лице, производившем операцию.
26. Требования по надежности и устойчивости функционирования средств УЦ:
26.1. Должны быть определены требования по надежности и устойчивости функционирования средств УЦ и указаны в ТЗ на разработку (модернизацию) средств УЦ.
26.2. Требования для средств УЦ класса КС1:
— проводится расчет вероятности сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций.
26.3. Требования для средств УЦ класса КС2:
— должно осуществляться тестирование устойчивости функционирования средств УЦ.
26.4. Требования для средств УЦ класса КС3:
— должны быть определены требования по времени восстановления средств УЦ после сбоя и указаны в ТЗ на разработку (модернизацию) средств УЦ;
— меры и средства повышения надежности и устойчивости функционирования средств УЦ должны содержать механизмы квотирования ресурсов средств УЦ.
26.5. Требования для средств УЦ класса КВ1:
— вероятность сбоев и неисправностей АС УЦ, приводящих к невыполнению УЦ своих функций, в течение суток не должна превышать аналогичной вероятности для используемых СКЗИ.
26.6. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса КВ1.
27. Требования к ключевой информации:
27.1. Порядок создания, использования, хранения и уничтожения ключевой информации определяется в соответствии с требованиями эксплуатационной документации на средства ЭП и иные СКЗИ, используемые средствами УЦ.
27.2. Срок действия ключа ЭП средства ЭП, используемого средствами УЦ, должен соответствовать требованиям, установленным к средствам ЭП.
27.3. Требования для средств УЦ класса КС1:
— не допускается копирование информации ключевых документов (криптографических ключей, в том числе ключей ЭП) на носители (например, жесткий диск), не являющиеся ключевыми носителями, без ее предварительного шифрования (которое должно осуществляться встроенной функцией используемого СКЗИ). Копирование ключевых документов должно осуществляться только в соответствии с эксплуатационной документацией на используемое СКЗИ;
— ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП и списков уникальных номеров сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения срока их действия (далее — список аннулированных сертификатов), а также ключи ЭП, используемые для подписи меток доверенного времени не должны использоваться ни для каких иных целей; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— сроки действия всех ключей должны быть указаны в эксплуатационной документации на средства УЦ.
27.4. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.
27.5. Требования для средств УЦ класса КВ1:
— должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной одному лицу.
27.6. Требования для средств УЦ класса КВ2:
— ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП, списков аннулированных сертификатов и меток доверенного времени, должны генерироваться, храниться, использоваться и уничтожаться в средстве ЭП; (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
— должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной двум лицам.
27.7. Требования для средств УЦ класса КА1:
— должны быть приняты организационно-технические меры, исключающие возможность компрометации ключа ЭП, используемого для подписи сертификатов ключей проверки ЭП и списков аннулированных сертификатов, при компрометации ключевой информации, доступной трем лицам.
28. Требования к резервному копированию и восстановлению работоспособности средств УЦ:
28.1. Средства УЦ должны реализовывать функции резервного копирования и восстановления на случай повреждения АС и (или) информации, обрабатываемой средствами УЦ. В ходе резервного копирования должна быть исключена возможность копирования криптографических ключей.
28.2. Требования для средств УЦ класса КС1:
— данные, сохраненные при резервном копировании, должны быть достаточны для восстановления функционирования средств УЦ в состояние, зафиксированное на момент копирования.
28.3. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.
28.4. Требования для средств УЦ класса КВ1:
— должны быть приняты меры обнаружения несанкционированных изменений сохраненных данных;
— должны быть определены требования по времени восстановления и указаны в ТЗ на разработку (модернизацию) средств УЦ и в эксплуатационной документации на средства УЦ.
28.5. Требования для средств УЦ класса КВ2:
— сохраняемая при резервном копировании защищаемая информация должна сохраняться только в зашифрованном виде.
28.6. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.
29. Требования к созданию и аннулированию сертификатов ключей проверки ЭП:
29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП, а также схема передачи заявления на создание сертификата ключа проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
29.3. Средства УЦ должны реализовывать протокол аннулирования сертификата ключа проверки ЭП с использованием списков аннулированных сертификатов.
29.4. Допускается реализация протоколов аннулирования без использования списков аннулированных сертификатов, требования к которым должны быть указаны в ТЗ на разработку (модернизацию) средств УЦ.
29.5. Требования для средств УЦ класса КС1:
— в средствах УЦ должна быть реализована функция изготовления сертификата ключа проверки ЭП на бумажном носителе. Порядок выдачи сертификата ключа проверки ЭП на бумажном носителе, а также процедура контроля соответствия сертификата ключа проверки ЭП в электронном виде и на бумажном носителе должны быть указаны в эксплуатационной документации на средства УЦ;
— в средствах УЦ в отношении владельца сертификата ключа проверки ЭП должны быть реализованы механизмы проверки уникальности ключа проверки ЭП и обладания соответствующим ключом ЭП.
29.6. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.
29.7. Требования для средств УЦ класса КС3:
— погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 10 минут.
29.8. Требования для средств УЦ класса КВ1:
— погрешность значений времени в сертификатах ключей проверки ЭП и списках аннулированных сертификатов не должна превышать 5 минут.
29.9. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса КВ1.
30. Требования к структуре сертификата ключа проверки ЭП и списка аннулированных сертификатов:
30.1. Требования для средств УЦ класса КС1:
— допустимые структуры сертификата ключа проверки ЭП и списка аннулированных сертификатов должны быть перечислены в эксплуатационной документации на средства УЦ;
— в средствах УЦ должен быть реализован механизм контроля соответствия создаваемых сертификатов ключей проверки ЭП и списков аннулированных сертификатов заданной структуре;
— в структуре сертификата ключа проверки ЭП должны быть предусмотрены поле, содержащее сведения о классе средств УЦ, с использованием которых был создан настоящий сертификат ключа проверки ЭП, и поле, содержащее сведения о классе средства ЭП владельца сертификата ключа проверки ЭП.
30.2. Требования для средств УЦ классов КС2 и КС3 совпадают с требованиями для средств УЦ класса КС1.
30.3. Требования для средств УЦ класса КВ1:
— в средствах УЦ должен быть реализован механизм задания системным администратором набора допустимых дополнений сертификата ключа проверки ЭП и списка аннулированных сертификатов.
30.4. Требования для средств УЦ классов КВ2 и КА1 совпадают с требованиями для средств УЦ класса КВ1.
31. Требования к реестру сертификатов ключей проверки ЭП и обеспечению доступа к нему:
31.1. Требования для средств УЦ класса КС1:
— в средствах УЦ должны быть реализованы механизмы хранения и поиска всех созданных сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре, а также сетевого доступа к реестру.
31.2. Требования для средств УЦ класса КС2 совпадают с требованиями для средств УЦ класса КС1.
31.3. Требования для средств УЦ класса КС3:
— в средствах УЦ должен быть реализован механизм поиска сертификатов ключей проверки ЭП и списков аннулированных сертификатов в реестре сертификатов ключей проверки ЭП по различным их атрибутам;
— все изменения реестра сертификатов ключей проверки ЭП должны регистрироваться в журнале аудита.
31.4. Требования для средств УЦ классов КВ1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС3.
32. Требования к проверке ЭП в сертификате ключа проверки ЭП:
32.1. Должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП по запросу участника электронного взаимодействия и указан в эксплуатационной документации на средства УЦ.
32.2. В средствах УЦ должен быть реализован механизм проверки подлинности ЭП УЦ в выдаваемых им сертификатах ключей проверки ЭП.
32.3. Проверка ЭП в сертификате ключа проверки ЭП осуществляется в соответствии с рекомендациями X.509, включая обязательную проверку всех критических дополнений.
32.4. Если, исходя из особенностей эксплуатации средств УЦ, допускается использование альтернативных форматов сертификата ключа проверки ЭП, должен быть определен механизм проверки подписи в сертификате ключа проверки ЭП и указан в ТЗ на разработку (модернизацию) средств УЦ.
33. Механизм формирования меток доверенного времени при его использовании в составе УЦ должен реализовываться средствами УЦ. (в ред. Приказа ФСБ РФ от 13.04.2022 N 179)
34. Для ограничения возможностей по построению каналов атак на средства УЦ с использованием каналов связи должны применяться средства межсетевого экранирования. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
35. Должны быть определены требования по защите средств УЦ от компьютерных вирусов и компьютерных атак и указаны в ТЗ на разработку (модернизацию) средств УЦ. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
36. При подключении средств УЦ, за исключением средств, реализующих механизм формирования меток доверенного времени, к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1. (в ред. Приказа ФСБ РФ от 04.12.2020 N 555)
38. При подключении средств, реализующих механизм меток доверенного времени, к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, должны выполняться следующие требования: (в ред. Приказа ФСБ РФ от 13.04.2022 N 179)
38.1. Класс средств ЭП, реализующих механизмы формирования меток доверенного времени, должен быть не ниже класса КС3. Должно быть обеспечено защищенное хранение криптографических ключей в неэкспортируемом виде. (в ред. Приказа ФСБ РФ от 13.04.2022 N 179)
— защиту от атак, направленных на веб-сервера, в том числе путем контроля и фильтрации информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера; (в ред. Приказа ФСБ РФ от 13.04.2022 N 179)
— защиту от вредоносного программного обеспечения, в том числе обнаружение компьютерных программ или иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования защищаемой информации или нарушения штатного функционирования средств защиты информации, а также реагирование на обнаружение этих программ и информации; (в ред. Приказа ФСБ РФ от 13.04.2022 N 179)
— обнаружение (предотвращение) вторжений, направленных на преднамеренный несанкционированный доступ к обрабатываемой информации, специальное воздействие на средства защиты информации и (или) информацию в целях ее получения, уничтожения, искажения и блокирования доступа к информации, а также для реагирования на эти действия (предотвращение этих действий); (в ред. Приказа ФСБ РФ от 13.04.2022 N 179)
— доверенную загрузку средств вычислительной техники, в том числе путем контроля локального доступа и целостности программного обеспечения средств вычислительной техники. (в ред. Приказа ФСБ РФ от 13.04.2022 N 179)
Защищенные носители
При получении ключей электронной подписи в ФНС России вместе с носителем необходимо предоставить копию сертификата ФСТЭК России.
Для работы ключей электронной подписи, записанных на такие носители потребуется специальная программа — . В подавляющем большинстве случаев требуется программа
КриптоПро CSP (источник —
сайт ФНС России).
Программа КриптоПро CSP платная, ее
можно приобрести у нас.
Из представленных моделей самый распространенный и популярный —
Рутокен Lite. Мы рекомендуем к использованию именно его.
На носитель Рутокен S в некоторых инспекциях не могут записать ключи электронной подписи (мы сами столкнулись с такой проблемой).
Использования защищенного носителя и программного криптопровайдера КриптоПро CSP позволит Вам удачно воспользоваться электронной подписью от ФНС в 99,999% случаев! Исключением являются специфические системы, в которых до сих пор предъявляются особые требования к носителю ключевой информации и/или программному криптопровайдеру. Например, в системе ЕГАИС-алко работают только аппаратные криптоключи, описанные ниже.
Аппаратные криптоключи
Аппаратные криптоключи — это специальный вид носителей, которые могут быть использованы для хранения ключей электронной подписи (как и защищенные носители) а также имеют встроенные средства электронной подписи.
Особенностью аппаратных криптоключей является встроенная техническая реализация алгоритмов электронной подписи, что позволяет не приобретать и не использовать дополнительных программных криптопровайдеров (например, КриптоПро CSP). Однако, чтобы воспользоваться данным функционалом, важно знать несколько моментов:
В настоящий момент времени ключи электронной подписи, записанные аппаратными средствами, работают только в следующих «массовых» системах:
Аппаратные криптоключи могут использоваться как и защищенный носитель в качестве хранилища ключей электронной подписи. В таком случае для работы ключей электронной подписи программа криптопровайдер.
Кроме того, ключи электронной подписи изготовленные средствами аппаратного ключа при использовании совместно с современным программным криптопровайдером (например, КриптоПро CSP версии 5.0), будут работать везде.
Таким образом электронная подпись, изготовленная средствами аппаратного криптоключа, используемая совместно с программным криптопровайдером (например, КриптоПро CSP 5.0) будет самым универсальным вариантом использования электронной подписи. Однако, из-за особенностей работы такого ключа, процесс подписания и шифрования будет значительно длительным!
Какой носитель электронной подписи выбрать?
При выборе носителя ключевой информации мы рекомендуем использовать следующий подход:
1. Определить, в каких системах Вы планируете работать и какие задачи планируете решать при помощи электронной подписи. Узнайте требования к носителю — возможно там есть жесткие ограничения! Например, для работы с системой ЕГАИС-алко требуется только аппаратный криптоключ.
Если особые требования к носителю не предъявляются, то вам будет достаточно защищенного носителя Рутокен Lite.
2. Если Вы планируете работать только в конкретных системах, которые поддерживают аппаратные криптоключи (например, Госуслуги, Личный кабинет налогоплательщика на сайте ФНС России, система ЕГАИС-алко), можете смело приобретать аппаратный криптоключ, например Рутокен ЭЦП 2.0.
3. Если нет жестких ограничений для использования аппаратных криптоключей, описанных в п. 1 и 2, то смело берите комплект защищенный носитель (например,
Рутокен Lite) и криптопровайдер
КриптоПро CSP 5.0. Такой комплект позволит вам обеспечить универсальность и оптимальный бюджет.